人工智能在2025年仍將是一個熱門話題，但不要錯過其他趨勢，包括初始訪問代理的增長、首席信息安全官（vCISO）的崛起、技術(shù)合理化等等。

每年這個時候，行業(yè)專家和分析師都會關(guān)注明年的網(wǎng)絡(luò)安全趨勢、預(yù)測和挑戰(zhàn)。

專家預(yù)測，到2024年，生成式人工智能（GenAI）和大型語言模型將會增加，勒索軟件攻擊和第三方供應(yīng)鏈挑戰(zhàn)也將持續(xù)。這些趨勢是真實的，因為威脅參與者使用GenAI創(chuàng)建了更有說服力的社會工程攻擊，數(shù)據(jù)存儲供應(yīng)商Snowflake的客戶遭受了破壞，Change Healthcare遭受了破壞性的勒索軟件攻擊。

以下了解網(wǎng)絡(luò)安全行業(yè)專家對2025年的預(yù)測。

1.首席信息安全官退出人工智能應(yīng)用

人工智能在2024年風(fēng)靡一時，但不要指望2025年人工智能的采用率會如此之高——至少安全團(tuán)隊不會這么做。事實上，F(xiàn)orrester Research公司預(yù)計，在未來一年，GenAI在安全用例中的應(yīng)用將減少10%。

該分析公司的客戶群指出，采用該技術(shù)的一個障礙是預(yù)算不足。Forrester公司分析師Cody Scott表示，首席信息安全官不重視采用率的另一個原因是，客戶沒有看到安全帶來的好處，對目前的人工智能體驗感到沮喪。

Scott說，GenAI和AI模型因其自動化安全領(lǐng)域機械生產(chǎn)力任務(wù)的能力而受到吹捧，例如報告和分析，但它們還沒有提供太多的事件響應(yīng)。

2.在GenAI和人工智能模型周圍設(shè)置護(hù)欄的壓力

Informa TechTarget企業(yè)戰(zhàn)略集團(tuán)網(wǎng)絡(luò)安全實踐總監(jiān)Melinda Marks表示，整個企業(yè)對人工智能的持續(xù)采用將導(dǎo)致行業(yè)推動制定有關(guān)人工智能安全使用的法規(guī)。

Marks說：“安全團(tuán)隊希望積極主動，領(lǐng)先于人工智能的使用，因為像任何創(chuàng)新技術(shù)一樣，人工智能很容易失控?！?/p>

保護(hù)使用GenAI開發(fā)的代碼對于保護(hù)應(yīng)用程序和敏感數(shù)據(jù)至關(guān)重要。馬克斯補充說，安全團(tuán)隊知道這一點，并希望確保他們盡早設(shè)置護(hù)欄。

3.為初始訪問代理的興起做好準(zhǔn)備

德勤網(wǎng)絡(luò)威脅情報團(tuán)隊表示，首次訪問經(jīng)紀(jì)人的數(shù)量有所增加，預(yù)計這一趨勢將在2025年持續(xù)下去。

內(nèi)部攻擊者是威脅行為者或威脅組織，他們將進(jìn)入受害組織網(wǎng)絡(luò)的權(quán)限出售給惡意的第三方客戶。iab專門負(fù)責(zé)闖入網(wǎng)絡(luò)，而不是自己進(jìn)行最終攻擊——勒索軟件、數(shù)據(jù)泄露或其他攻擊。購買進(jìn)入組織的訪問權(quán)限降低了威脅行為者的進(jìn)入門檻，因為它使他們無需技術(shù)知識就可以進(jìn)行攻擊。

德勤（Deloitte）美國網(wǎng)絡(luò)情報主管Clare Mohr表示，僅在2024年10月，就有近400起IABs在地下論壇上列出了非法訪問公司的情況。預(yù)計未來會有更多的攻擊活動使用IAB產(chǎn)品。

4.對托管安全服務(wù)提供商（msp）的依賴增加

Informa TechTarget旗下Omdia的網(wǎng)絡(luò)安全研究總監(jiān)Maxine Holt表示，到2025年，企業(yè)將加大對托管安全服務(wù)提供商的投資，以提高安全彈性。

Holt說：“企業(yè)沒有內(nèi)部資源、技能或?qū)I(yè)知識。她希望托管安全服務(wù)提供商的能夠特別幫助管理非人類身份，包括服務(wù)器、移動設(shè)備、微服務(wù)和物聯(lián)網(wǎng)設(shè)備等。

非人類身份的增長擴(kuò)大了身份格局。Omdia發(fā)現(xiàn)，目前非人類身份的數(shù)量是人類身份的50比1。Holt說：“對于大多數(shù)組織來說，不可能在內(nèi)部完成所有事情。

5.是時候進(jìn)行技術(shù)合理化了

根據(jù)帕洛阿爾托網(wǎng)絡(luò)公司（Palo Alto Networks）的數(shù)據(jù)，安全團(tuán)隊正面臨著工具過載的問題大多數(shù)團(tuán)隊平均擁有超過30個工具，這可能是一種阻礙，而不是幫助。

管理服務(wù)商Optiv公司的首席信息安全官Max Shier表示，他預(yù)計到2025年，首席信息安全官將進(jìn)行安全技術(shù)合理化，即評估組織的安全堆棧，以實現(xiàn)價值最大化，消除冗余和低效率。技術(shù)合理化可以幫助組織解決工具蔓延和削減成本。

首先，Shier建議公司確定他們的用例，并檢查產(chǎn)品路線圖，作為提案流程請求的一部分，無論是作為新工具還是簽署續(xù)簽許可協(xié)議。

組織需要回答的幾個問題包括：

• 這些工具或平臺是否以與組織相關(guān)的方式協(xié)助數(shù)據(jù)安全？
• 組織需要的功能是在不久的將來出現(xiàn)在路線圖上，還是還很遙遠(yuǎn)？

• 當(dāng)前的安全堆棧有多成熟，這些工具會鞏固它嗎？

Shier補充說，不要指望會有快速的轉(zhuǎn)變。根據(jù)許可協(xié)議，可能需要三到五年的時間才能看到工具數(shù)量的差異。

6.網(wǎng)絡(luò)攻擊者在攻擊前表現(xiàn)得更有耐心

網(wǎng)絡(luò)攻擊者并不總是為了快速攻擊。有些攻擊是醞釀已久的，比如2024年發(fā)現(xiàn)的Volt Typhoon網(wǎng)絡(luò)攻擊。這個國家威脅組織至少在5年的時間里一直可以持續(xù)訪問關(guān)鍵的基礎(chǔ)設(shè)施目標(biāo)，而沒有采取任何行動。

網(wǎng)絡(luò)安全供應(yīng)商Titania的市場戰(zhàn)略和發(fā)展高級副總裁Phil Lewis預(yù)測，2025年及以后，這些先進(jìn)的持續(xù)威脅將會更多。攻擊者將攻擊目標(biāo)，并在很長一段時間內(nèi)保持休眠狀態(tài)，不被發(fā)現(xiàn)，直到攻擊時機成熟。

這些復(fù)雜的攻擊很難檢測和緩解。Lewis說，組織應(yīng)該把重點放在網(wǎng)絡(luò)彈性上，而不是預(yù)防上，因為歷史表明，攻擊者不會一直被阻止。他還建議組織實施微分段和宏分段，以使對手更難以進(jìn)行橫向移動和數(shù)據(jù)泄露。

7.開源軟件攻擊和立法增多

開源軟件攻擊的數(shù)量迅速增長，自從2023年11月以來，供應(yīng)鏈管理供應(yīng)商Sonatype跟蹤了超過50萬個新的惡意軟件包。

開源安全基金會（OpenSSF）是一個由軟件和安全工程師組成的社區(qū)，預(yù)測2025年開源軟件攻擊將繼續(xù)上升。

OpenSSF的首席安全架構(gòu)師Christopher Robinson表示，部分挑戰(zhàn)在于開發(fā)人員并不總是接受過安全方面的培訓(xùn)。他補充說，許多組織沒有對他們的申請進(jìn)行適當(dāng)?shù)膶彶椤Ｏ喾?，他們只是“盲目地接受組件”，這可能會使他們自己和他們的客戶受到漏洞的影響。

為了緩解問題，Robinson建議要求供應(yīng)商提供軟件材料清單，以了解其軟件的組件，并進(jìn)行模糊測試、源代碼分析和漏洞掃描，以評估軟件安全性。他補充說，公司和供應(yīng)商也應(yīng)該報告和分享潛在的安全問題，讓其他人和開源社區(qū)了解情況。

隨著開源供應(yīng)鏈攻擊數(shù)量的增加，預(yù)計相關(guān)法規(guī)也會隨之出臺。Robinson表示，OpenSSF已經(jīng)在與歐盟委員會合作制定開源法規(guī)，并聽說日本和印度政府也在考慮類似的立法。

8.缺乏跨云的可見性會損害組織

云計算在當(dāng)今的組織中是司空見慣的。MSPDirectDefense首席技術(shù)官兼總裁JimBroome表示：“我敢說，很多客戶已經(jīng)遷移到云計算，只是為了從資本支出過渡到運營支出，以更好地負(fù)擔(dān)他們的基礎(chǔ)設(shè)施?！?/p>

向云的遷移給企業(yè)帶來了可見性方面的挑戰(zhàn)，這些挑戰(zhàn)可能會在2025年對企業(yè)造成傷害，尤其是在多云環(huán)境中。Broome說，“不幸的是，99%的情況下，組織沒有正確地將數(shù)據(jù)從本地遷移到云端，尤其是在疫情期間。”當(dāng)新冠疫情襲來時，員工被允許訪問和使用敏感數(shù)據(jù)，而他們的組織卻沒有太多的可見性和監(jiān)督，這個問題從未得到解決。

組織應(yīng)該將云安全態(tài)勢管理納入預(yù)算，以確?？缍鄠€云的敏感數(shù)據(jù)的安全。他補充說，利益相關(guān)者還應(yīng)該檢查云中的數(shù)據(jù)的安全性，并考慮采用現(xiàn)有工具或平臺或新工具的可見性和響應(yīng)能力。

9.虛擬首席信息安全官和CSO顧問人數(shù)增加

2025年可能是首席信息安全官選擇虛擬首席信息安全官（vCISO）或首席信息安全官顧問角色而不是全職內(nèi)部角色的一年。

“我們一直聽說首席信息安全官是‘首席替罪羊官’，對吧？”風(fēng)險管理供應(yīng)商BlackKite的高級副總裁兼網(wǎng)絡(luò)風(fēng)險策略師Jeffrey Wheatman說。例如，SolarWinds的首席信息安全官Tim Brown在最近美國證券交易委員會對該供應(yīng)商提起的訴訟中被點名。

他說，“他們覺得自己沒有得到支持，或者在違約后要自己承擔(dān)后果。突然之間，他們不再想要全職合同了?！?/p>

Wheatman說，他的許多首席信息安全官和前首席信息安全官朋友最近都開始考慮擔(dān)任首席信息安全官和首席信息安全官顧問。

對于沒有資源聘請全職首席信息安全官的組織來說，首席信息安全官（vCISO）是一個受歡迎的選擇。有些組織可能只需要按需提供幫助，比如在年初提供年度戰(zhàn)略，每季度根據(jù)需要提供幫助——這是惠特曼的一位首席戰(zhàn)略官顧問朋友目前正在做的事情。

10.人工智能代理成為妥協(xié)的目標(biāo)

人工智能代理是一種支持人工智能的軟件，可以執(zhí)行自主決策和行動。作為先進(jìn)的聊天機器人，這些代理可以幫助客戶獲得他們之前向客戶服務(wù)或服務(wù)臺員工提出的問題的答案，或者他們可以管理工作流程并進(jìn)行研究以創(chuàng)建假設(shè)和分析。

實時風(fēng)險檢測供應(yīng)商Dataminr的產(chǎn)品管理副總裁Shimon Modi表示，隨著越來越多的組織實施人工智能代理，預(yù)計威脅行為者也會將其作為目標(biāo)。

事實上，一些攻擊者已經(jīng)在使用人工智能代理來攻擊部署它們的公司，通常是以快速注入攻擊的形式。例如，一個人工智能代理被騙為一輛雪佛蘭卡車報價低得離譜，另一個被騙轉(zhuǎn)移了4.7萬美元的加密貨幣。2025年，威脅行為者可能會欺騙人工智能代理泄露敏感數(shù)據(jù)或重置用戶密碼。

為了保護(hù)人工智能代理免受此類攻擊，莫迪表示，組織應(yīng)該應(yīng)用傳統(tǒng)的安全和治理原則，并調(diào)整現(xiàn)有的劇本，以納入人工智能安全。例如，組織可以對人工智能代理應(yīng)用漏洞評估和測試，以及使用數(shù)據(jù)分類來控制人工智能代理可以訪問哪些數(shù)據(jù)，從而控制它們可以執(zhí)行哪些請求。